作者: Zazel
日時: 2008/1/09(11:23)
Zazelです。

=== 閑舎 <raku@...> さんが書かれた
=== <20080109.100308.99468834.honda@...> にて

> もうちょっと確認させてください。うちのケースだと、1つの IPアドレスをネー
> ムベースのバーチャルホストで使いわけている格好です(rakunet.org,
> nishihiroshima.comなど複数)。

うちも同じような構成です。

まず証明書は基本的にFQDNに対して発行されます。(例 www.tsnet.org)
別のサブドメイン(auth.tsnet.org)でも使いたかったら、別に発行して
もらうかワイルドカード証明書(*.tsnet.org)を発行してもらいます。
ここで、まったく違うドメイン(rakunet.org)だと新たに別の証明書が
必要になります。

次に設定するバーチャルドメインがIPアドレスベースでなければいけない
理由は、SSLのハンドシェイクがHTTPに先だって行われるので、その時点
ではIPアドレスでしか区別できないためです。

そこで先のメールで書いた若干の問題が出てくるのですが、IPアドレスが
一つだと例えば www.tsnet.org の証明書だけをインストールすることに
なります。でも他にネームベースのバーチャルドメイン(rakunet.org)が
あると、その違うドメインへのアクセスも同じIPアドレスで行われるので

    https://rakunet.org/ に対して www.tsnet.org の証明書

が提示されて、証明書とドメインが違う状態になってしまいます。

まあ関連サイトであればごまかせるかもしれませんが、閑舎さんのように
お仕事関係も同じサーバに収納していると問題あるでしょう。

# 例えばうちのサーバでは https://32g.cx/ でもTSNETのページが表示
# されますが、Firefoxだとドメインが違うって出ます。
# 以前に仕事方面の試用サイトを作っていたときに、勝手にhttps で
# アクセスされて知らないページが表示されるって言われたことが(笑)


> apache は apache なんですが、Vine のは古く 1.3、Debian は 2.2 で、設定が
> かなり変わってきているのが心配です(^^;。

メジャーバージョン間移行でも特に問題があった記憶はないです。
http://httpd.apache.org/docs/2.2/upgrading.html にも特にないですね。

(* SEKI Masatoshi  //  Zazel                      *)
(*  Would you hold my hand? Softly, let's linger. *)